Infections probables ...

[Résolu/Fermé]
Signaler
Messages postés
19
Date d'inscription
jeudi 26 août 2010
Statut
Membre
Dernière intervention
27 août 2010
-
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
-
Bonjour,

Plusieurs programmes ne veulent plus se lancer, des messages " ... a rencontré un problème ..." sont fréquents.
Je sais qu'il manque de place sur le DD, je vais m'employer à faire le tri, mais il y a des choses qui m'intriguent dans le rapport ZHPDiag que j'ai hébergé ici : http://www.cijoint.fr/cjlink.php?file=cj201008/cij5Fu4HTB.txt

Le rapport MalwareBytes est propre, je le mettrai si besoins.

Merci d'avance pour l'aide apportée



29 réponses

Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 253
Télécharge List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

Ou

http://www.archive-host.com


double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Rend toi sur Cjoint :? http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message





CONTRIBUTEUR SECURITE

Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
Messages postés
19
Date d'inscription
jeudi 26 août 2010
Statut
Membre
Dernière intervention
27 août 2010

Je n'ai que ce rapport :

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-26 10:11:03
Windows 6.0.6002 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

J'aurais loupé quelque chose ?
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 253
regardes là si c'est la même chose C:\List'em.txt

sinon

- as tu désactivé toutes tes protection, y compris spyware en tout genre
- as tu fais clic droit "executer en tant qu'administrateur
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 253
pour les protections tu as raison, mon blabla n'était pas à jour


1)

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

O42 - Logiciel: Favorit (gkykoaw) - (.Pas de propriétaire.) [HKLM] -- gkykoaw
[HKCU\Software\AppDataLow\Toolbar]
[HKCU\Software\Hot-TV]
[HKCU\Software\Popsicle]
[HKLM\Software\685D6D1C-D73A-4F37-B7E5E53660311DDB]
[HKLM\Software\Hot-TV]




Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

.............

2)

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

choisis l'option CLEAN
ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

colle le contenu dans ta reponse

............

3)

* Télécharge Defogger
http://www.jpshortstuff.247fixes.com/Defogger.exe

=> lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé


puis

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\


? Télécharge : Gmer (by Przemyslaw Gmerek)

http://www.gmer.net/



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)


Messages postés
19
Date d'inscription
jeudi 26 août 2010
Statut
Membre
Dernière intervention
27 août 2010

Le rapport ZHPFix :

Rapport de ZHPFix v1.12.3138 par Nicolas Coolman, Update du 25/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-26-08-2010-11-02-15.txt
Run by Loïc at 26/08/2010 11:02:15
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: Favorit (gkykoaw) - (.Pas de propriétaire.) [HKLM] -- gkykoaw => Clé supprimée avec succès
HKCU\Software\AppDataLow\Toolbar => Clé absente
HKCU\Software\Hot-TV => Clé supprimée avec succès
HKCU\Software\Popsicle => Clé supprimée avec succès
HKLM\Software\685D6D1C-D73A-4F37-B7E5E53660311DDB => Clé supprimée avec succès
HKLM\Software\Hot-TV => Clé supprimée avec succès

========== Logiciel(s) ==========
O42 - Logiciel: Favorit (gkykoaw) - (.Pas de propriétaire.) [HKLM] -- gkykoaw => Logiciel non supprimé


========== Récapitulatif ==========
6 : Clé(s) du Registre
1 : Logiciel(s)


End of the scan

Je fais le reste ...
Messages postés
19
Date d'inscription
jeudi 26 août 2010
Statut
Membre
Dernière intervention
27 août 2010

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.0 ¤¤¤¤¤¤¤¤¤¤

User : Loïc (Administrateurs)
Update on 26/08/2010 by g3n-h@ckm@n ::::: 01.20
Start at: 11:50:37 | 26/08/2010

Mobile AMD Sempron(tm) Processor 3500+
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18943
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 25,54 Go (2,91 Go free) | NTFS
D:\ -> Disque fixe local | 48,98 Go (19,86 Go free) | NTFS
E:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\Windows\System32\smss.exe ----544 Ko
C:\Windows\system32\csrss.exe ----3588 Ko
C:\Windows\system32\wininit.exe ----2976 Ko
C:\Windows\system32\csrss.exe ----11484 Ko
C:\Windows\system32\winlogon.exe ----4360 Ko
C:\Windows\system32\services.exe ----6036 Ko
C:\Windows\system32\lsass.exe ----2264 Ko
C:\Windows\system32\lsm.exe ----3088 Ko
C:\Windows\system32\svchost.exe ----5068 Ko
C:\Windows\System32\svchost.exe ----5640 Ko
C:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe ----2160 Ko
C:\Windows\system32\svchost.exe ----5804 Ko
C:\Windows\System32\svchost.exe ----18040 Ko
C:\Windows\system32\Ati2evxx.exe ----2908 Ko
C:\Windows\System32\svchost.exe ----9024 Ko
C:\Windows\System32\svchost.exe ----58036 Ko
C:\Windows\system32\svchost.exe ----20752 Ko
C:\Windows\system32\svchost.exe ----3608 Ko
C:\Windows\system32\SLsvc.exe ----3296 Ko
C:\Windows\system32\Ati2evxx.exe ----4548 Ko
C:\Windows\system32\svchost.exe ----8720 Ko
C:\Windows\system32\Hpservice.exe ----3432 Ko
C:\Windows\system32\svchost.exe ----16560 Ko
C:\Windows\System32\spoolsv.exe ----7864 Ko
C:\Program Files\Avira\AntiVir Desktop\sched.exe ----1076 Ko
C:\Windows\system32\svchost.exe ----8212 Ko
C:\Windows\system32\agrsmsvc.exe ----2200 Ko
C:\Program Files\Avira\AntiVir Desktop\avguard.exe ----14796 Ko
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe ----3000 Ko
C:\Windows\system32\svchost.exe ----2772 Ko
C:\Windows\system32\ifxspmgt.exe ----5488 Ko
C:\Windows\system32\ifxtcs.exe ----4500 Ko
C:\Windows\system32\IfxPsdSv.exe ----2680 Ko
C:\Windows\system32\svchost.exe ----3436 Ko
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe ----5820 Ko
C:\Program Files\Spyware Terminator\sp_rsser.exe ----3452 Ko
C:\Windows\system32\svchost.exe ----4052 Ko
C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe ----2848 Ko
C:\Windows\System32\svchost.exe ----3100 Ko
C:\Windows\system32\SearchIndexer.exe ----10944 Ko
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe ----3504 Ko
C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe ----3792 Ko
C:\Windows\system32\wbem\wmiprvse.exe ----5076 Ko
C:\Windows\system32\taskeng.exe ----4584 Ko
C:\Program Files\Windows Media Player\wmpnetwk.exe ----10332 Ko
C:\Windows\system32\taskeng.exe ----8148 Ko
C:\Windows\system32\Dwm.exe ----3636 Ko
C:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe ----13964 Ko
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\pthosttr.exe ----7420 Ko
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe ----5800 Ko
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe ----2380 Ko
C:\Program Files\Common Files\Java\Java Update\jusched.exe ----3304 Ko
C:\Program Files\Analog Devices\Core\smax4pnp.exe ----4312 Ko
C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe ----9512 Ko
C:\Program Files\LimeWire\LimeWire.exe ----70376 Ko
C:\Program Files\Windows Media Player\wmpnscfg.exe ----3916 Ko
C:\Windows\system32\wbem\unsecapp.exe ----4512 Ko
C:\Windows\explorer.exe ----52384 Ko
C:\Windows\system32\msiexec.exe ----19392 Ko
C:\Windows\system32\vssvc.exe ----17336 Ko
C:\Windows\System32\svchost.exe ----6796 Ko
C:\Windows\system32\cmd.exe ----2404 Ko
C:\Windows\system32\wbem\wmiprvse.exe ----8724 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE ----5196 Ko
C:\Program Files\List_Kill'em\pv.exe ----5784 Ko

¤¤¤¤¤¤¤¤¤¤ Files/folders :
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 253
utilise ci joint pour transmettre les rapports
Messages postés
19
Date d'inscription
jeudi 26 août 2010
Statut
Membre
Dernière intervention
27 août 2010

Désolé, je n'ai fait qu'exécuter tes instructions, comme le rapport ne me semblait pas trop gros, je l'ai collé
J'hébergerai les autres, pas de souci

colle le contenu dans ta reponse
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 253
(sourire)

ok je vais être plus pointu avec toi

celui de killem aussi stp, il n'est pas complet du coup
Messages postés
19
Date d'inscription
jeudi 26 août 2010
Statut
Membre
Dernière intervention
27 août 2010

Ok, Defogger est fait, j'attends Gmer et j'héberge le tout ;)
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 253
vu

gmer peut long à faire....
Messages postés
19
Date d'inscription
jeudi 26 août 2010
Statut
Membre
Dernière intervention
27 août 2010

Le rapport Gmer :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijMfdDETt.txt

J'ai relancé List_Kill'em option clean mais pas de rapport disponible ... du moins je ne l'ai pas trouvé
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 253
Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets provisoirement internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt


salutoù sont les autres rapports ?
Messages postés
19
Date d'inscription
jeudi 26 août 2010
Statut
Membre
Dernière intervention
27 août 2010

Bonjour gen-hackman

Le rapport Defogger a une extension .log, "ci-joint" ne peut l'héberger et celui de List_Kill'em option clean n'a pas donné de rapport ...
Messages postés
19
Date d'inscription
jeudi 26 août 2010
Statut
Membre
Dernière intervention
27 août 2010

ComboFix tourne depuis près de 45 mn ... c'est normal à ton avis ?

J'avoue être un peu inquiet, le programme de reconnaissance d'empreinte s'est lancé tout seul et a bugué pendant l'analyse ... l'écran est en veille mais je n'ose pas toucher à quoi que ce soit ...

ok poste le rapport deffogger ici

et poste C:\Kill'em.txt
Messages postés
19
Date d'inscription
jeudi 26 août 2010
Statut
Membre
Dernière intervention
27 août 2010

Ok, mais je peux interrompre ComboFix comme ça ?

non une fois qu il aura fini :)
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 253
si il se termine...

sinon il faudra l'arrêter
regarder si il y a un rapport ici C:\ComboFix.txt

.....

pour gen

je n'ai pas oublié le rapport
je gère ca en premier

C:\Program (*** hidden *** ) @ C:\Windows\explorer.exe [1500] 0x73EB0000



Messages postés
19
Date d'inscription
jeudi 26 août 2010
Statut
Membre
Dernière intervention
27 août 2010

Les nouvelles :

Pas de rapport Combofix

Le rapport Kill'em.txt est le même que celui plus haut : https://forums.commentcamarche.net/forum/affich-18970184-infections-probables#30 ... c'est à dire incomplet ...

RapportDefogger :

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 12:01 on 26/08/2010 (Loïc)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read SafeBoot.sys


-=E.O.F=-

Je dois arrêter pour aujourd'hui, faut bien aller travailler, on peut reprendre demain matin ?
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 253
ok

pour killem, on y reviendra (promi Gen)

quand tu pourras on refait combofix mais en mode sans echec

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

.......................

on peut reprendre demain matin ?

oui à partir de 5h
Messages postés
19
Date d'inscription
jeudi 26 août 2010
Statut
Membre
Dernière intervention
27 août 2010

Bonjour moment de grâce

Le rapport ComboFix en MSE :

http://www.cijoint.fr/cjlink.php?file=cj201008/cij3DrQErG.txt
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 253
ok

peux tu refaire un scan GMER stp

Messages postés
19
Date d'inscription
jeudi 26 août 2010
Statut
Membre
Dernière intervention
27 août 2010

Voilà le nouveau rapport Gmer :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijdMeYQKH.txt

Je n'ai plus vu de ligne rouge, un bon signe je suppose ...
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 253
il n'y a surtout pas l'alerte du premier scan

comment va le pc ?